¿Qué ha descubierto el grupo de trabajo sobre ciberdelincuencia del Fiscal de Nápoles sobre el ataque de un hacker a decenas de estaciones de trabajo en la fábrica de Leonardo en Pomigliano d'Arco (Nápoles)? El rol del gerente de Cert de la ex Finmeccanica
Empleados infieles en Leonardo. Esto es lo que descubrió el poder judicial. Todos los detalles.
LO QUE HA DESCUBIERTO LA FISCALIZA DE NÁPOLES SOBRE EL ATAQUE A LEONARDO
A través de un troyano de nueva ingeniería, inoculado en computadoras a través de pendrives USB, durante casi dos años, entre mayo de 2015 y enero de 2017, robaron 10 gigabytes de datos clasificados e información de valor comercial significativo: se notificaron dos medidas de precaución a un ex empleado y ejecutivo de Leonardo (el antiguo grupo Finmeccanica activo en los sectores de defensa, aeroespacial y seguridad) se cree que está involucrado, según los investigadores, en un grave ataque a las estructuras de TI contra la División de Aeroestructuras y la División de Aeronaves que comenzó en 2015 .
EL PAPEL DE LEONARDO CERT
Durante casi dos años se ha apoderado de los datos de la empresa mediante el uso de un malware insertado en los PC de decenas de estaciones de trabajo de la fábrica de Leonardo en Pomigliano d'Arco (Nápoles). El hacker –escribió la agencia Adn Kronos– fue descubierto gracias a complejas investigaciones del grupo de trabajo sobre ciberdelito de la Fiscalía de Nápoles, que culminó hoy con la ejecución de dos órdenes de custodia preventiva: la primera contra un ex empleado Leonardo, investigado por acceso ilegal al sistema informático, interceptación ilegal de comunicaciones electrónicas y procesamiento ilegal de datos personales; el segundo contra el titular de Leonardo's Cert (Cyber Emergency Readiness team), organismo encargado de gestionar los ataques informáticos que sufre la empresa, investigado por desvío.
QUIEN FUE ARRESTADO
Los destinatarios de las medidas cautelares -según lo redactado por Ansa y por el Messaggero- "son el ex empleado de la dirección de seguridad informática de Leonardo SpA, Arturo D'Elia, por quien el juez de instrucción ordenó la prisión y Antonio Rossi, responsable de Leonardo's Cert (Cyber Emergency Readiness Team), organismo encargado de gestionar los ciberataques que sufre la empresa a la que se notificó la medida cautelar de custodia domiciliaria. El ex empleado es imputado por acceso abusivo al sistema informático, interceptación ilícita de comunicaciones electrónicas y tratamiento ilícito de datos personales, según el delito de desvío ”.
EL ATAQUE A LA PLANTA LEONARDO EN POMIGLIANO D'ARCO
En enero de 2017, la estructura de ciberseguridad de Leonardo informó un tráfico de red anómalo saliente de algunas estaciones de trabajo de la planta de Pomigliano d'Arco, generado por un software de artefacto llamado “cftmon.exe”, desconocido para los sistemas antivirus de la empresa. El tráfico anómalo se dirigió hacia una página web denominada “www.fujinama.altervista.org”, cuya incautación preventiva se solicitó y ordenó, y hoy se realizó.
QUEJA DE LEONARDO
Según la primera denuncia de Leonardo, la anomalía informática se limitaba a un pequeño número de estaciones de trabajo y se caracterizaba por una exfiltración de datos considerados no significativos. Investigaciones posteriores han reconstruido un escenario mucho más extenso y severo.
LO QUE HAN DESCUBIERTO LAS INVESTIGACIONES SOBRE LOS EMPLEADOS DE LEONARDO, INCLUYENDO EL RESPONSABLE DEL CERT
De hecho, las investigaciones revelaron que durante casi dos años, entre mayo de 2015 y enero de 2017, las estructuras de TI de Leonardo habían sido golpeadas por un ciberataque dirigido y persistente, conocido como Advanced persistent amenaza o Apt, ya que se llevó a cabo con instalación en los sistemas, en el redes y máquinas de destino, de código malicioso. El ataque fue presuntamente perpetrado por un empleado de la dirección de seguridad informática del propio Leonardo, contra quien el juez de instrucción de Nápoles ordenó la prisión preventiva en prisión.
EL SOFTWARE MALVADO CONTRA LEONARDO
El software malicioso se comportó como un troyano real de nueva ingeniería, inoculado insertando memorias USB en PC espía, y permitió interceptar lo que se escribió en el teclado de las estaciones infectadas y capturar los marcos de lo que se mostraba en las pantallas.
LA RECONSTRUCCIÓN DE LA POLICÍA
El ciberataque, según la reconstrucción llevada a cabo por la Policía de Comunicaciones, está catalogado como de extrema gravedad ya que la superficie del ataque afectó a 94 puestos de trabajo, de los cuales 33 se ubicaron en la planta de la empresa Pomigliano d'Arco.
QUIEN GOLPEÓ AL TROYANO
En estas estaciones de trabajo se configuraron múltiples perfiles de usuario en uso por parte de los empleados, incluso con funciones gerenciales, dedicados a actividades empresariales orientadas a producir bienes y servicios de carácter estratégico para la seguridad y defensa del país.
LO ROBADO A LEONARDO, EN LA PLANTA POMIGLIANO D'ARCO
En total, de las 33 máquinas objetivo de Pomigliano d'Arco se restan 10 giga de datos, lo que equivale a unos 100 mil archivos, relativos a la gestión administrativo-contable, el uso de recursos humanos, la adquisición y distribución de bienes de capital, así como el diseño de componentes de aeronaves civiles y aeronaves militares para el mercado nacional e internacional.
POSICIONES TAMBIÉN INFECTADAS DE ALCATEL
Además de las estaciones informáticas de la planta de Pomigliano d'Arco, se infectaron 13 estaciones de una empresa del grupo Alcatel, a las que se sumaron otras 48, tanto en uso por particulares como por empresas que operan en el sector productivo aeroespacial.
LA DEPISTA DEL GERENTE CERT DI LEONARDO
Investigaciones posteriores revelaron la actividad de desvío por parte del titular del Leonardo Cert, contra quien se aplicó la medida cautelar de arresto domiciliario, ya que – escribe Adn Kronos – habría dado una representación falsa y engañosa de naturaleza y efectos del ciberataque con el fin de obstaculizar las investigaciones.
NOTA DE LEONARDO
Leonardo en una nota a la prensa subraya que “la investigación resultó de una denuncia presentada por la propia seguridad de la empresa, a la que luego siguieron otras. Las medidas se refieren a un ex colaborador no empleado por Leonardo y a un empleado, no gerente, de la empresa. La Compañía, obviamente la parte lesionada en este asunto, ha brindado desde el principio y seguirá brindando la máxima colaboración a los investigadores para esclarecer el incidente y protegerse. Por último, cabe destacar que los datos clasificados o estratégicos se tratan en zonas segregadas y por tanto sin conectividad y en cualquier caso no presentes en el emplazamiento de Pomigliano ”.
Esta es una traducción automática de una publicación publicada en StartMag en la URL https://www.startmag.it/mondo/tutti-i-dettagli-sul-cyber-attacco-a-leonardo-il-ruolo-del-cert-finmeccanica/ el Sat, 05 Dec 2020 10:26:17 +0000.